Im Rahmen unserer Website werden ausschließlich zwei technisch notwendige Cookies gesetzt, um die grundlegende Funktionalität der Website - in technischer Hinsicht - zu gewährleisten. Datenschutzerklärung

Bekanntmachungen der Datenschutzbehörde

Information der Datenschutzbehörde zum neuen Angemessenheitsbeschluss für die Vereinigten Staaten

Am 10. Juli 2023 wurde von der Europäischen Kommission ein neuer Angemessenheitsbeschluss gemäß Art. 45 DSGVO für die Vereinigten Staaten von Amerika angenommen, das sog. EU-U.S. Data Privacy Framework (siehe https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721).

Zu beachten ist, dass der Angemessenheitsbeschluss nur partiell gilt und nur Datenübermittlungen an jene Datenimporteure in den Vereinigten Staaten abdeckt, die in der sog. Data Privacy Framework List aufscheinen (eine Suche ist unter https://www.dataprivacyframework.gov/s/participant-search möglich).

Scheint ein Datenimporteur in den Vereinigten Staaten in dieser Liste auf, ist die Übermittlung personenbezogener Daten allein auf Basis des Angemessenheitsbeschlusses möglich und müssen keine weiteren Maßnahmen iSd. Art. 46 DSGVO gesetzt werden.

Hingegen müssen Datenübermittlungen an Datenimporteure in den Vereinigten Staaten, welche nicht unter das EU-U.S. Data Privacy Framework fallen, weiterhin auf andere geeignete Garantieinstrumente iSd. Art. 46 DSGVO (bspw. Standarddatenschutzklauseln samt ggf. zusätzlicher Maßnahmen) oder – falls anwendbar – auf Ausnahmetatbestände iSd. Art. 49 DSGVO gestützt werden.

Verantwortliche Datenexporteure haben daher vor Durchführung der jeweiligen Datenübermittlung im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu prüfen, ob die Übermittlung in den Anwendungsbereich des neuen Angemessenheitsbeschlusses fällt, oder ob anderweitige Übermittlungsgrundlagen heranzuziehen sind.

Der neue Angemessenheitsbeschluss wird ein Jahr nach seinem Inkrafttreten einer ersten Überprüfung durch die Europäischen Kommission unterzogen.

Relevante Dokumente:

COMMISSION IMPLEMENTING DECISION of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework

Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework

Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023

Amtswegige Prüfverfahren im Finanzbereich eingeleitet

Die DSB führt heuer wieder Schwerpunktverfahren durch, in welchen Verantwortliche eines bestimmten Sektors einer vertieften Prüfung unterzogen werden.

Im Rahmen der Schwerpunktverfahren 2023 werden mehrere Kreditinstitute in Hinblick auf die Einhaltung der DSGVO untersucht. Die Überprüfungen beginnen in der Regel mit der Anweisung das Verzeichnis von Verarbeitungstätigkeiten vorzulegen sowie mit der Versendung eines Fragebogens, in welchem der Verantwortliche aufgefordert wird, zu allgemeinen und sektorspezifischen datenschutzrechtlichen Fragen Stellung zu nehmen. Im weiteren Verfahren sind auch Einschauen und mündliche Verhandlungen möglich.

Im Zuge dieser Prüfverfahren wird auch die Rolle der Datenschutzbeauftragten der jeweiligen untersuchten Finanzunternehmen genauer unter die Lupe genommen. Zu diesem Zweck haben die europäischen Datenschutzbehörden im Rahmen des sogenannten „Coordinated Enforcement Framework“ (CEF) einen entsprechenden Fragebogen ausgearbeitet.

Jahrestagung der öffentlichen Datenschutzbeauftragten am 4. und 5. Mai 2023 in Graz

Datenschutz-Expert*innen von Bund, Ländern, Städten und Gemeinden, aber auch aus dem Ausland, kamen in der Messe Graz zusammen, um sich austauschen und die neuesten Informationen zu datenschutzrechtlichen Fragestellungen zu erhalten.

Copyright © Stadt Graz, Foto Fischer

v. l. n. r. Dr. Johannes Schmid (stv. Generalsekretär des Österreichischen Städtebundes), Dr. Matthias Schmidl (stv. Leiter der Österreichischen Datenschutzbehörde), Dr. Ulrike Wimmer-Heller, (Datenschutzbeauftragte des Bundeskanzleramtes), Mag. Judith Schwentner (Vize-Bürgermeisterin der Stadt Graz), Dr. Walther Nauta (Datenschutzbeauftragter der Stadt Graz)

Bei der hybrid ausgetragenen Jahrestagung der Datenschutzbeauftragten am 4. und 5. Mai 2023 in Graz, gemeinsam veranstaltet vom Bundeskanzleramt, dem Österreichischen Städtebund und der österreichischen Datenschutzbehörde, mit über 150 Teilnehmer*innen standen unter anderem folgende Themen am Programm:

Datenschutz-Grundverordnung, Maßnahmen zur Steigerung der Datensicherheit, Datenaustausch zwischen den USA und der Europäischen Union, Rechtsprechung des Europäischen Gerichtshofes, Rechtsprechung des Bundesverwaltungsgerichts, Entscheidungen der Datenschutzbehörde, Social Media-Auftritte von Verwaltung und Politik oder ChatGPT.

Hier finden Sie eine Aufzählung der Vortragenden und Themen der Jahrestagung:

  • Eva Souhrada-Kirchmayer (Richterin am Bundesverwaltungsgericht) – Rechtsprechung des BVwG zur DSGVO und zum DSG
  • Günter Wildmann (Corporate Privacy Officer der Kapsch Group) – Einfache Maßnahmen zur Steigerung der Datensicherheit
  • Marit Hansen (Landesbeauftragte für Datenschutz in Schleswig-Holstein) – Risiko und Rechenschaftspflicht (Online-Vortrag)
  • Marie-Louise Gächter (Leiterin der Datenschutzstelle Liechtenstein) – EU-USA Data Privacy Framework
  • Gerhard Kunnert (Verfassungsdienst Bundeskanzleramt) – Rechtsprechung des EuGH
  • Georg Miernicki (Amt der Niederösterreichischen Landesregierung) – Artikel 20. Abs. 5 B-VG - Veröffentlichungspflicht von Studien etc.
  • Matthias Schmidl (stv. Leiter der Datenschutzbehörde) – relevante Entscheidungen der Datenschutzbehörde
  • Christiane Lackner (Mitarbeiterin der Datenschutzbehörde) – Social Media und öffentliche Verantwortliche
  • Gerald Trieb (Partner der Rechtsanwaltskanzlei Knyrim Trieb Rechtsanwälte OG) - Betroffenenanfragen, Medienprivileg und internationaler Datentransfer
  • Christof Tschohl (Digital Human Rights Center) – Kommunale Themen samt anschließender Diskussion

Die so zahlreiche Teilnahme von Vertreter*innen aus Bundesministerien, Ämtern der Landesregierung, Stadtverwaltungen, aber auch von den Gerichtshöfen des öffentlichen Rechts und Landesverwaltungsgerichten unterstreicht einmal mehr die zentrale Rolle, die den Datenschutzbeauftragten in Zeiten von immer rasanter werdenden technischen Entwicklungen (Social Media, künstliche Intelligenz u.v.m.) zukommt.

Ein besonderer Dank gilt der Stadt Graz für die ausgezeichnete Organisation vor Ort.

Die Veranstalter freuen sich bereits auf die nächste Jahrestagung der öffentlichen Datenschutzbeauftragten, welche 2024 voraussichtlich in Linz stattfinden wird!

Information der Datenschutzbehörde zum vollständigen Auslaufen der Standardvertragsklauseln

Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO werden von der Europäischen Kommission erlassen und können bei Fehlen eines Angemessenheitsbeschlusses iSd. Art. 45 DSGVO als geeignete Garantien – ggf. unter Ergänzung zusätzlicher Maßnahmen – für die Übermittlung personenbezogener Daten an Empfänger in Drittländern herangezogen werden.

Die Europäische Kommission hat am 4. Juni 2021 mit Durchführungsbeschluss (EU) 2021/914 „neue“ Standarddatenschutzklauseln erlassen. Gemäß dessen Art. 4 Abs. 2 und Abs. 3 wurden die auf Basis der ehemaligen Richtlinie 95/46/EG mit Entscheidung 2001/497/EG und Beschluss 2010/87/EU erlassenen Standardvertragsklauseln mit Wirkung vom 27. September 2021 aufgehoben und können gemäß Art. 4 Abs. 4 auf vor diesem Zeitpunkt abgeschlossene Vereinbarungen nur mehr bis zum 27. Dezember 2022 herangezogen werden.

Dies hat zur Folge, dass die auf Basis der Richtlinie 95/46/EG erlassenen Standardvertragsklauseln mit Ablauf des 27. Dezember 2022 ihre Gültigkeit zur Gänze verlieren und keine Grundlage für die Übermittlung personenbezogener Daten iSd. Kapitels V der DSGVO mehr darstellen.

Verantwortliche und Auftragsverarbeiter sollten daher prüfen, ob ihre Datenübermittlungen noch auf Grundlage der „alten“ Standardvertragsklauseln erfolgen und – wenn ja – diese durch die neue Version bzw. andere geeignete Garantien ersetzen.

Relevante Dokumente:

Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates

Europäische Kommission, Questions and Answers for the two sets of Standard Contractual Clauses

Information der Datenschutzbehörde zum Thema Abmahnungen wegen Google Fonts, Stand 23. August 2022

Aktuell erhält die Datenschutzbehörde vermehrt Anfragen zum Thema Abmahnungen wegen Google Fonts. Laut den der Datenschutzbehörde vorliegenden Informationen haben zahlreiche Unternehmen ein anwaltliches Schreiben erhalten, mit dem diese aufgefordert werden, aufgrund der Einbindung von Google Fonts auf der Unternehmenswebsite einen Schadenersatzanspruch und Vertretungskosten in Höhe von insgesamt EUR 190,00 anzuerkennen und auf ein anwaltliches Konto einzubezahlen. Darüber hinaus werden zahlreiche Unternehmen aufgefordert, eine Unterlassungserklärung abzugeben. Dem anwaltlichen Schreiben liegt auch ein Antrag auf Auskunft gemäß Art. 15 Datenschutz-Grundverordnung (DSGVO) bei.

Die Datenschutzbehörde ist für (allfällige) Schadenersatzklagen nicht zuständig. Es wird daher um Verständnis ersucht, dass die Datenschutzbehörde keine Information darüber geben kann, ob Sie den geforderten Betrag zahlen sollen. Diesbezüglich ist eine Kontaktaufnahme mit der Datenschutzbehörde nicht zielführend. Bitte holen Sie im Zweifel rechtliche Beratung ein.

Es wird aber ausdrücklich klargestellt, dass die Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der Datenschutzbehörde oder der österreichischen Gerichte fällt, jedoch keinesfalls von privaten Einrichtungen oder Privatpersonen vorzunehmen ist. Die Feststellung einer Datenschutzverletzung kann somit immer erst nach Durchführung eines gesetzlich bestimmten, formgebundenen Verfahrens erfolgen.

Zur Klärung des Sachverhalts hat die Datenschutzbehörde zwischenzeitig ein amtswegiges Prüfverfahren gegen Google wegen Google Fonts eingeleitet.

Im Folgenden werden allgemeine Informationen zum Antrag auf Auskunft und der Einbindung von Google Fonts zur Verfügung gestellt:

1. Zum Antrag auf Auskunft

Laut den der Datenschutzbehörde vorliegenden Informationen wurde in vielen Fällen auch ein Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt.

Sofern Sie sich entschließen, gemäß Art. 15 DSGVO eine inhaltliche Auskunft zu erteilen, können Sie wie folgt vorgehen:

  • Überprüfen Sie zuerst, ob eine Vertretungsvollmacht der betroffenen Person vorliegt. Ein Antrag auf Auskunft an ein Unternehmen des Privatrechts, der durch eine anwaltlich vertretene Person gestellt wird, ist nur gültig, wenn der Anwalt eine entsprechende Vollmacht der vertretenen Person vorlegt (vgl. das Erkenntnis des Verwaltungsgerichtshofs vom 4. Juli 2016, Ra 2016/04/0014, VwSlg. 19411 A/2016).
  • Sofern eine Vertretungsvollmacht der betroffenen Person vorliegt, ist zu überprüfen, ob Sie personenbezogene Daten der betroffenen Person zum Antragszeitpunkt gespeichert haben. Laut den der Datenschutzbehörde vorliegenden Informationen wird im anwaltlichen Schreiben zumindest die IP-Adresse der betroffenen Person genannt. Überprüfen Sie daher sorgfältig, ob Sie die IP-Adresse der betroffenen Person gespeichert haben, zB. in Logfiles.
  • Sofern Sie die IP-Adresse der betroffenen Person gespeichert haben, ist darüber innerhalb der Regelfrist von einen Monat eine Auskunft gemäß Art. 15 DSGVO zu erteilen. Die Auskunft können Sie an die anwaltliche Vertretung der betroffenen Person übermitteln.
  • Sofern Sie, trotz sorgfältiger Recherche, zu dem Ergebnis gelangen, dass Sie die IP-Adresse (und auch sonstige Daten) der betroffenen Person nicht gespeichert haben, ist darüber innerhalb der Regelfrist von einen Monat ebenfalls eine Auskunft, eine sogenannte Negativauskunft gemäß Art. 15 DSGVO, zu erteilen. Diesfalls können Sie folgenden Satz an die anwaltliche Vertretung der betroffenen Person übermitteln: „Wir verarbeiten keine Sie betreffenden personenbezogenen Daten“.
  • Bewahren Sie sämtliche Korrespondenz mit der anwaltlichen Vertretung der betroffenen Person für einen angemessenen Zeitraum auf. Die Korrespondenz können Sie als Beweismittel in einem allfälligen Verfahren vor Gericht oder vor der Datenschutzbehörde verwenden.

Hinweis: Auch, wenn Sie die Auskunftserteilung unter Hinweis auf Art. 12 Abs. 5 DSGVO ablehnen, müssen Sie der betroffenen Person dies mitteilen (Reaktionspflicht). Darüber hinaus müssen Sie gemäß Art. 12 Abs. 5 DSGVO den „offenkundig unbegründeten oder exzessiven Charakter“ des Auskunftsantrags begründen (Rechenschaftspflicht).

2. Was ist Google Fonts?

Vereinfacht gesagt handelt es sich um ein Verzeichnis mit Schriftarten, die von Google angeboten werden. Die Schriftarten können entweder lokal am eigenen Server hochgeladen werden oder alternativ über einen Google-Server (nach)geladen werden.

Weitere Informationen finden Sie unter:

https://fonts.google.com/about

3. Zur Einbindung von Google Fonts

Die Datenschutzbehörde hat das amtswegige Prüfverfahren gegen Google wegen Google Fonts noch nicht abgeschlossen. Die Datenschutzbehörde kann daher keine Stellungnahme dazu abgeben, ob die Einbindung von Google Fonts auf einer Website tatsächlich gegen die DSGVO verstößt.

Unverbindlich wird jedoch empfohlen, die folgenden technischen Schritte umzusetzen:

  • Überprüfen Sie, ob Google-Fonts tatsächlich auf Ihrer Website eingebunden ist.
  • Überprüfen Sie, ob Sie Google-Fonts überhaupt benötigen. Oft wird Google-Fonts bei „Website-Baukästen“ standardmäßig eingebunden.
  • Sofern Sie Google-Fonts auf Ihrer Website einbinden und benötigen, überprüfen Sie, ob die Schriftarten von einem Google-Server (nach)geladen werden, oder ob die Schriftarten lokal eingebunden sind. Eine lokale Einbindung ist empfehlenswert.
  • Wenn Sie technische Expertise besitzen, können Sie zusätzlich überprüfen, ob aufgrund der Einbindung von Google Fonts auf Ihrer Website überhaupt eine Verbindung zu einem Google-Server aufgebaut wird. Dokumentieren Sie ihre Ergebnisse.

Hinweis: Im Internet finden Sich zahlreiche Anleitungen, wie Google Fonts lokal am eigenen Server eingebunden werden kann. Holen Sie im Zweifel technische Unterstützung ein.

Start einer koordinierten Maßnahme betreffend die Nutzung von Cloud basierten Diensten im öffentlichen Sektor

Der 15. Februar 2022 markierte den Start der ersten „koordinierten Maßnahme“ des Europäischen Datenschutzausschusses (EDSA) zum Thema „Nutzung von Cloud-gestützten Diensten durch öffentliche Stellen“.

Im Wesentlichen werden beginnend mit Februar 2022 insgesamt 22 nationale Aufsichtsbehörden (einschließlich des Europäischen Datenschutzbeauftragten) im gesamten Europäischen Wirtschaftsraum Untersuchungen zur Nutzung von Cloud-basierten Diensten durch den öffentlichen Sektor einleiten bzw. haben solche eingeleitet.

Hierbei werden über 80 öffentliche Institutionen, großteils aus den Bereichen Gesundheit, Finanzen, Bildung und öffentlicher Beschaffung, angesprochen. Aufbauend auf der gemeinsamen Vorbereitungsarbeit der teilnehmenden Aufsichtsbehörden – insbesondere wurde gemeinsam ein Fragebogen zu den relevanten Datenschutzaspekten erstellt – sollen auf nationaler Ebene die Herausforderungen öffentlicher Stellen bei einer DSGVO konformen Auswahl und Nutzung von Cloud-basierten Diensten untersucht werden. Vornehmlich werden die notwendigen Prozesse und Sicherheitsvorkehrungen beim Erwerb bzw. Problembereiche im Zusammenhang mit internationalem Datenverkehr, sowie jene Bestimmungen, die die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter regeln, beleuchtet.

Auch die österreichische Datenschutzbehörde beteiligt sich an dieser umfassenden Initiative und es wurde hierzu – in Übereinstimmung mit dem nationalen Verfahrensrecht – ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) gemäß Art. 57 Abs. 1 lit. h iVm Art. 58 Abs. 1 lit. b DSGVO iVm § 22 Abs. 1 DSG gegen eine aus Sicht der Datenschutzbehörde geeignete Institution der öffentlichen (Bundes ) Verwaltung eingeleitet.

Die Ergebnisse werden anschließend zusammengefasst analysiert und mit Ende des Jahres 2022 in einem EWR-weiten Bericht in anonymisierter Form veröffentlicht.

Für weiterführende Informationen darf auf die korrespondierende Pressemitteilung des Europäischen Datenschutzausschusses verwiesen werden:

https://edpb.europa.eu/news/news/2022/launch-coordinated-enforcement-use-cloud-public-sector_de

Information der Datenschutzbehörde zur Entscheidung über die Verwendung von Google Analytics

Die Datenschutzbehörde hat sich im Rahmen eines Beschwerdeverfahrens mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DSGVO) befasst. Bei Google Analytics handelt es sich um ein Google-Tool, mit dem Betreiber einer Website detaillierte Berichte über das Nutzerverhalten von Website-Besuchern erstellen können.
Beim Aufruf einer Website, die Google Analytics verwendet, wird dem Browser des Besuchers eine Google Analytics Kennnummer zugeordnet. Besucher können anhand dieser Kennnummer individualisiert und unterschiedlich behandelt werden. Zusätzlich besteht die Möglichkeit, diese Kennnummer mit weiteren Informationen zu kombinieren, wie etwa mit der IP-Adresse oder gewissen Browserdaten. Durch diese Kombination entsteht ein einzigartiger digitaler Fußabdruck, der dem Benutzer des Browsers zugeordnet werden kann. Wenn ein Besucher während des Aufrufs einer solchen Website in sein Google Konto eingeloggt ist, kann die Information über den Websitebesuch auch dem jeweiligen Google Konto zugeordnet werden.
Im Beschwerdeverfahren wurde festgestellt, dass dieser digitale Fußabdruck auch an die Server von Google LLC mit Sitz in den USA übermittelt wurde. Der Betreiber der Website und Google LLC haben Standarddatenschutzklauseln (in der Fassung des Durchführungsbeschlusses der Europäischen Kommission 2010/87/EU vom 5. Februar 2010) abgeschlossen. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union in C‑311/18 („Schrems II“) wurde diese Datenübermittlung als unzulässig beurteilt, weil kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, wie gemäß Artikel 44 DSGVO gefordert, gegeben war. Die zusätzlich zu den Standarddatenschutzklauseln implementierten Maßnahmen waren aus Sicht der Datenschutzbehörde nicht effektiv, da diese die seitens des EuGH aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigt haben.
Die Datenschutzbehörde hat daher mit Bescheid festgestellt, dass Website-Betreiber das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit der DSGVO einsetzen können. Dieser Bescheid ist nicht rechtskräftig.
Bescheid: D155.027 GA (PDF, 907 KB)

Informationen zu Auskunftsbegehren an die Datenschutzbehörde

Die Datenschutzbehörde erhält derzeit eine hohe Anzahl an Auskunftsbegehren infolge der Versendung von Informationsschreiben zur COVID-19-Schutzimpfung.
Die Datenschutzbehörde speichert Ihre personenbezogenen Daten nur dann, wenn Sie mit der Datenschutzbehörde in Kontakt treten. Wenn Sie mit der Datenschutzbehörde bislang noch nicht in Kontakt waren, wird Ihnen die Datenschutzbehörde mitteilen, dass keine Daten zu Ihnen verarbeitet werden („Negativauskunft“).
Die Datenschutzbehörde weist darauf hin, dass sie keine Kenntnis über die Datenverarbeitung anderer Stellen hat.
Soweit Sie daher eine Auskunft über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit dem Erhalt eines Informationsschreibens zur COVID 19-Schutzimpfung begehren, müssen Sie sich an die jeweilige Stelle, die das Informationsschreiben versandt hat, wenden.